Ya está aquí el nuevo Reglamento General de Protección de Datos (GDPR, en sus siglas en inglés), elaborado para regular, entre otros, el uso del Big Data.

No es una sorpresa, las empresas procesan cada vez más datos e información de los usuarios, haciéndose necesaria la regulación del tratamiento de este Big Data. El nuevo Reglamento General de Protección de Datos,  se lleva gestando desde el 2011 y será de total aplicación el próximo mes de mayo, encontrándonos actualmente los Estados Miembros, Administraciones y Entidades Privadas inmersos en el correspondiente proceso de adaptación, que comenzó el pasado mes de mayo del 2016.

Los principales objetivos del Reglamento de Protección de Datos son:

  1. Garantizar la protección de los usuarios para que éstos puedan disfrutar de la máxima privacidad.
  2. Evitar usos no autorizados de los datos recabados por parte de las empresas.
  3. Ofrecer un marco de control UE, adaptado al entorno tecnológico actual.

En este sentido, respecto a otros países de la UE tenemos cierta ventaja, nuestra Ley Órganica de Protección de Datos de Carácter Personal o LOPD, aún en vigor , es considerada una de las más exigentes del mundo en materia de privacidad, por lo que en buena parte ya habíamos avanzado.

Sin embargo, el nuevo reglamento aporta un enfoque diferente, incorporando una serie de elementos que le dan personalidad propia. En líneas generales, si con la Ley Orgánica de Protección de Datos, el regulador establecía una serie de controles específicos en función del tipo de dato manejado, el nuevo reglamento de protección de datos, introduce un cambio sustancial delegando en las organizaciones, a través de unas directrices generales, la valoración del riesgo a partir de los datos tratados, así como la definición e implementación de los controles que se consideren adecuados en función de dicho riesgo.

Hablando del concepto de privacidad, es habitual la discusión entre qué es privacidad y qué es seguridad. ¿Son lo mismo?, ¿Son diferentes?, ¿Se solapan?, ¿Dónde?. Desde mi punto de vista son dos conceptos diferentes, aunque íntimamente relacionados. Mientras que la seguridad es un proceso (a poder ser, de mejora continua) la privacidad es uno de los posibles resultados de ese proceso. Es decir, la privacidad sin seguridad, simplemente no existe.

Y es que el nuevo reglamento, a partir del nuevo enfoque adoptado, tiene mucho de seguridad y de gestión del riesgo. Los conocidos como PIA (Privacy Impact Assessment), o análisis de impacto en la privacidad, son en definitiva un medio para valorar, teniendo en cuenta una serie de parámetros proporcionados por el regulador, la sensibilidad de los datos de carácter personal tratados de cara a establecer las medidas necesarias que mitiguen los riesgos asociados. Si sustituimos “PIA” por “BIA” (Business Impact Analysis), “datos de carácter personal” por “información”, y “regulador” por “negocio”, obtendremos prácticamente un análisis de riesgos clásico, que ha venido siendo uno de los primeros pasos a la hora de comenzar a gestionar el riesgo tecnológico en cualquier organización.

¿Cuales son las motivaciones de las organizaciones para adoptar medidas ante los nuevos cambios en la protección de datos?

Las motivaciones que van a llevar a las organizaciones a adoptar las medidas antes del próximo mayo (aunque algunas encuestas digan lo contrario), se encuentran las elevadas sanciones, máximo de un 4% del total de la facturación del grupo, hasta veinte millones de euros. Es probable, aunque depende en gran medida del apetito al riesgo y de la cultura local del país (comparemos por ejemplo a un conductor de diferentes nacionalidad de la UE conduciendo por una autovía con un límite de velocidad de 120 km/h). En este sentido, estoy de acuerdo con los que opinan que el factor más determinante en el cumplimiento del reglamento será el propio mercado. Es importante señalar que el reglamento será de obligado cumplimiento para las entidades que recojan, usen o almacenen datos de carácter personal (Data Controller) y a su vez para los terceros que almacenen o procesen esos mismos datos (Data Processor). De esta forma habrá una extensión “hacia atrás” de esta obligación de cumplimiento por parte de los clientes hacia sus proveedores, garantizando que éstos implementen las medidas oportunas, en función de los datos tratados. Es decir, quien no se adapte al cambio, se quedará fuera de juego con toda seguridad.

En Digitex, dado nuestro relevante rol como “Data Processor”, nos encontramos en la actualidad inmersos en un proceso de adaptación a la nueva norma tanto técnico como legal, más un fundamental componente cultural y de concienciación al cambio, que abarca entre otros las siguientes líneas de trabajo, relacionadas estrechamente con la función de seguridad:

  • Privacy By Design / Privacy by Default: entendimiento y clasificación de los datos de carácter personal tratados en los diferentes servicios, a partir de una serie de criterios establecidos por la norma (número de accesos, finalidad, volumen de registros, etc) de cara a desarrollar los PIA asociados y establecer así los controles de seguridad necesarios. Del mismo modo, integración de dicho análisis dentro del ciclo de vida del proyecto, dotando de las medidas de seguridad necesarias al servicio desde la fase de diseño hasta la finalización del mismo.

 

  • Notificación de incidentes: como parte de los actuales planes de resiliencia, se están redefiniendo los procedimientos de monitorización y notificación de incidentes de cara a garantizar el cumplimiento de los plazos establecidos de 72h desde el descubrimiento del incidente. En este sentido, existen en la actualidad diversas líneas de trabajo cuyo objetivo es el de especificar en detalle el procedimiento de notificación de incidentes a la Agencia Española de Protección de Datos (AEPD).

 

  •  Delegado de protección de datos: a nivel organizativo es necesario contar con la figura del Delegado de Protección del dato (DPO, en sus siglas en inglés), que ya sea en primera persona, o como parte de un comité multidisciplinar, gobierne dentro del ámbito de privacidad y mantenga un reporte directo a la Alta Dirección.

 

Añadido a las medidas descritas se encuentran otras de ámbito técnico:

  • Derecho al olvido: Borrado de todo dato relacionado con el usuario.
  • Portabilidad de los datos: Traslado de toda información relativa al solicitante de nuestra organización a la entidad destino especificada)
  • Legal: consentimiento explícito del usuario, o una mayor transparencia y claridad al usuario en la descripción del tratamiento que se les dará a los datos recabados.

Como comentábamos, el GDPR se trata de una nueva filosofía en la protección del dato, basada en el riesgo, que incorpora cambios relevantes a nivel técnico, legal, organizativo y cultural. Es ahora nuestro turno para adaptar y desplegar las medidas planteadas, con el fin de preservar ya no sólo la privacidad de los usuarios tratados en nuestra organización, si no la subsistencia del negocio.

 

Andrés Sanz Mollejo

CISO Corporativo Digitex